Is ChatGPT een cyberbeveiligingsramp? We vroegen het aan de experts

ChatGPT voelt op dit moment behoorlijk onontkoombaar, met verhalen verwonderd over zijn capaciteiten schijnbaar overal waar je kijkt. We hebben gezien hoe het muziek kan schrijven, 3D-animaties kan weergeven en muziek kan componeren. Als je het kunt bedenken, kan ChatGPT er waarschijnlijk een poging toe wagen.

En dat is precies het probleem. Er is momenteel allerlei handwring in de technische gemeenschap, met commentatoren die zich vaak zorgen maken dat AI over gaat om te leiden tot een malware-apocalyps waarbij zelfs de meest groenvingerige hackers onstuitbare trojans en ransomware tevoorschijn toveren.

Maar is dit echt waar? Om daar achter te komen, sprak ik met een aantal cyberbeveiligingsexperts om te zien wat zij vonden van de malwaremogelijkheden van ChatGPT. of ze zich zorgen maakten over het potentieel voor misbruik en wat u kunt doen om uzelf te beschermen in dit aanbrekende nieuwe wereld.

Twijfelachtige capaciteiten

Een van de belangrijkste attracties van ChatGPT is de mogelijkheid om gecompliceerde taken uit te voeren met slechts een paar simpele aanwijzingen, vooral in de wereld van programmeren. De vrees is dat dit de toetredingsdrempels voor het maken van malware zou verlagen, waardoor mogelijk een wildgroei aan virusschrijvers zou kunnen ontstaan ​​die vertrouwen op AI-tools om het zware werk voor hen te doen.

Joshua Long, Chief Security Analyst bij beveiligingsbedrijf Intego, illustreert dit punt. "Zoals elk hulpmiddel in de fysieke of virtuele wereld, kan computercode ten goede of ten kwade worden gebruikt", legt hij uit. “Als u code opvraagt ​​die bijvoorbeeld een bestand kan versleutelen, kan een bot als ChatGPT uw werkelijke bedoelingen niet kennen. Als je beweert dat je encryptiecode nodig hebt om je eigen bestanden te beschermen, zal de bot je geloven - zelfs als je echte doel is om ransomware te maken."

ChatGPT heeft verschillende beveiligingen om dit soort dingen te bestrijden, en de truc voor virusmakers is om die vangrails te omzeilen. Vraag ChatGPT botweg om een ​​effectief virus te maken en het zal gewoon weigeren, waardoor je creatief moet zijn om het te slim af te zijn en het tegen beter weten in je biedingen te laten doen. Gezien wat mensen kunnen doen jailbreaks in ChatGPT, voelt de mogelijkheid om malware te maken met behulp van AI in theorie mogelijk. In werkelijkheid, het is al aangetoond, dus we weten dat het mogelijk is.

Maar niet iedereen is in paniek. Martin Zugec, de Technical Solutions Director bij Bitdefender, denkt dat de risico's nog vrij klein zijn. “De meeste beginnende malwareschrijvers beschikken waarschijnlijk niet over de vaardigheden die nodig zijn om deze beveiliging te omzeilen maatregelen en daarom blijft het risico van door chatbots gegenereerde malware op dit moment relatief laag zegt.

"Door chatbots gegenereerde malware is de laatste tijd een populair gespreksonderwerp", vervolgt Zugec, "maar er is momenteel geen aanwijzingen dat het in de nabije toekomst een significante dreiging vormt.” En daar is een simpele reden voor. Volgens Zugec, “is de kwaliteit van de malwarecode die door chatbots wordt geproduceerd vaak laag, waardoor deze minder goed is aantrekkelijke optie voor ervaren malwareschrijvers die betere voorbeelden in openbare code kunnen vinden opslagplaatsen.”

Dus hoewel ChatGPT kwaadaardige code kan maken, is het zeker mogelijk, iedereen die de vaardigheden heeft die nodig is om de AI-chatbot te manipuleren, is waarschijnlijk niet onder de indruk van de slechte code die hij maakt, Zugec gelooft.

Maar zoals je misschien wel kunt raden, is generatieve AI nog maar net begonnen. En voor Long betekent dit dat de hackrisico's van ChatGPT nog niet in steen zijn gebeiteld.

“Het is mogelijk dat de opkomst van LLM-gebaseerde AI-bots kan leiden tot een kleine tot matige toename van nieuwe malware of een verbetering van malware mogelijkheden en antivirusontduiking”, zegt Long, waarbij hij een acroniem gebruikt voor de grote taalmodellen die AI-tools zoals ChatGPT gebruiken om hun kennis. "Op dit moment is het echter niet duidelijk hoeveel directe impact tools zoals ChatGPT hebben of zullen hebben op echte malwarebedreigingen."

De vriend van een phisherman

Als de schrijfvaardigheid van ChatGPT nog niet op peil is, zou het dan op andere manieren een bedreiging kunnen vormen, bijvoorbeeld door effectievere phishing- en social engineering-campagnes te schrijven? Hier zijn de analisten het erover eens dat er veel meer potentieel is voor misbruik.

Voor veel bedrijven zijn de werknemers van het bedrijf een potentiële aanvalsvector, die kunnen worden misleid of gemanipuleerd om onbedoeld toegang te verlenen waar ze dat niet zouden moeten doen. Hackers weten dit, en er zijn tal van spraakmakende social engineering-aanvallen geweest die rampzalig zijn gebleken. Er wordt bijvoorbeeld gedacht dat de Lazarus Group in Noord-Korea hiermee is begonnen Inbraak in de systemen van Sony in 2014 — resulterend in het lekken van niet-uitgebrachte films en persoonlijke informatie — door zich voor te doen als een rekruteerder en een medewerker van Sony een geïnfecteerd bestand te laten openen.

Dit is een gebied waarop ChatGPT hackers en phishers enorm kan helpen hun werk te verbeteren. Als Engels bijvoorbeeld niet de moedertaal van een bedreigingsacteur is, kunnen ze een AI-chatbot gebruiken om een ​​overtuigende phishing-e-mail voor hen te schrijven die bedoeld is om Engelstaligen te targeten. Of het kan worden gebruikt om snel grote aantallen overtuigende berichten te creëren in veel minder tijd dan menselijke dreigingsactoren nodig zouden hebben om dezelfde taak uit te voeren.

Het kan nog erger worden als andere AI-tools in de mix worden gegooid. Zoals Karen Renaud, Merrill Warkentin en George Westerman hebben gepostuleerd MIT's Sloan Management Review, kan een fraudeur een script genereren met behulp van ChatGPT en dit via de telefoon laten voorlezen door een deepfake-stem die zich voordoet als de CEO van een bedrijf. Voor een medewerker van het bedrijf die de oproep ontvangt, zou de stem klinken - en zich gedragen - net als hun baas. Als die stem de werknemer vraagt ​​om een ​​geldbedrag over te maken naar een nieuwe bankrekening, kan de werknemer vanwege het eerbied voor de baas in de list trappen.

Zoals Long het stelt: “[dreigingsactoren] hoeven niet langer te vertrouwen op hun eigen (vaak onvolmaakte) Engelse vaardigheden om een ​​overtuigende zwendel-e-mail te schrijven. Ze mogen ook niet eens hun eigen slimme bewoordingen bedenken en door Google Translate halen. In plaats daarvan schrijft ChatGPT, die zich totaal niet bewust is van de mogelijke kwaadaardige bedoelingen achter het verzoek, graag de volledige tekst van de zwendel-e-mail in elke gewenste taal.”

En het enige dat nodig is om ChatGPT dit daadwerkelijk te laten doen, is een slimme aansporing.

Kan ChatGPT uw cyberbeveiliging verbeteren?

Toch is het niet allemaal slecht. Dezelfde eigenschappen die ChatGPT tot een aantrekkelijk hulpmiddel maken voor bedreigingsactoren - de snelheid, het vermogen om fouten in code te vinden - maken het een nuttig hulpmiddel voor cyberbeveiligingsonderzoekers en antivirusbedrijven.

Long wijst erop dat onderzoekers al AI-chatbots gebruiken om nog niet ontdekte ("zero-day") kwetsbaarheden in code, simpelweg door de code te uploaden en ChatGPT te vragen om te zien of er potentieel is zwakke punten. Dat betekent dat dezelfde methodologie die de verdediging zou kunnen verzwakken, kan worden gebruikt om ze te versterken.

En hoewel de belangrijkste aantrekkingskracht van ChatGPT voor bedreigingsactoren ligt in het vermogen om plausibele phishing-berichten te schrijven, diezelfde talenten kunnen bedrijven en gebruikers leren waar ze op moeten letten om te voorkomen dat ze worden opgelicht zich. Het kan ook worden gebruikt om malware te reverse-engineeren, waardoor onderzoekers en beveiligingsbedrijven snel tegenmaatregelen kunnen ontwikkelen.

Uiteindelijk is ChatGPT op zichzelf niet inherent goed of slecht. Zoals Zugec opmerkt: “Het argument dat AI de ontwikkeling van malware kan vergemakkelijken, kan op elk ander argument van toepassing zijn technologische vooruitgang waar ontwikkelaars van hebben geprofiteerd, zoals open-sourcesoftware of het delen van codes platformen.”

Met andere woorden, zolang de waarborgen blijven verbeteren, zal de dreiging die uitgaat van zelfs de beste AI-chatbots wordt misschien nooit zo gevaarlijk als onlangs werd voorspeld.

Hoe u uzelf veilig kunt houden

Als u zich zorgen maakt over de bedreigingen van AI-chatbots en de malware die ze kunnen creëren, zijn er enkele stappen die u kunt nemen om uzelf te beschermen. Zugec zegt dat het belangrijk is om een ​​"meerlagige verdedigingsbenadering" toe te passen, waaronder "het implementeren van eindpuntbeveiligingsoplossingen, het houden van software en systemen actueel, en waakzaam blijven voor verdachte berichten of verzoeken.”

Long raadt ondertussen aan om de bestanden te vermijden die u automatisch wordt gevraagd te installeren wanneer u een website bezoekt. Als het gaat om het updaten of downloaden van een app, haal deze dan uit de officiële app store of website van de softwareleverancier. En wees voorzichtig wanneer u op zoekresultaten klikt of inlogt op een website — hackers kunnen gewoon betalen om hun zwendelsites bovenaan de zoekresultaten te plaatsen en uw inloggegevens stelen met zorgvuldig ontworpen lookalike websites.

ChatGPT gaat nergens heen, en evenmin de malware die over de hele wereld zoveel schade aanricht. Hoewel de dreiging van het codeervermogen van ChatGPT voorlopig misschien overdreven is, kan zijn vaardigheid in het opstellen van phishing-e-mails allerlei soorten hoofdpijn veroorzaken. Toch is het heel goed mogelijk om jezelf te beschermen tegen de dreiging die het vormt en ervoor te zorgen dat je geen slachtoffer wordt. Op dit moment kan een overvloed aan voorzichtigheid - en een solide antivirus-app - helpen om uw apparaten veilig en gezond te houden.

Aanbevelingen van de redactie

• Google Bard kan nu spreken, maar kan het ChatGPT overstemmen?
• Het verkeer op de ChatGPT-website is voor het eerst gedaald
• Apple's ChatGPT-rivaal schrijft mogelijk automatisch code voor u
• New Yorkse advocaten beboet voor het gebruik van nep-ChatGPT-zaken in juridische stukken
• Deze webbrowser integreert ChatGPT op een fascinerende nieuwe manier